2025/02/05 SecurityOnline — Zyxel の Customer Premises Equipment (CPE) に存在する深刻な脆弱性により、無数のユーザーがリモート攻撃の危機に直面していることを、VulnCheck のセキュリティ研究者たちが特定し、報告している。
それらの脆弱性は、各種の Zyxel ルーターに影響に影響を及ぼすものであり、連鎖的に発生する可能性があり、未認証の攻撃者に対して任意のコード実行を許す可能性があるという。その結果として、攻撃者はルーターの完全な制御を奪い、データ窃取などの攻撃やインターネット接続妨害などを引き起こす可能性を手にする。
VulnCheck のレポートは、「これらの脆弱性の組み合わせにより、Telnet 経由で未認証のコード実行にいたる可能性がある。 古いプロトコルである Telnet は、セキュリティが不十分であることが知られている。一般的に、インターネットに接続するサービスは、安全が確保されていないと考えられているため、懸念すべき状況となっている」と警告している。
心配なことに、これらの脆弱性は実際に悪用されている。サイバーセキュリティ企業の GreyNoise のハニーポット・ネットワークでは、これらの脆弱性を標的とするエクスプロイトが観察されているとのことだ。
影響を受けるデバイス
現時点において Zyxel は、影響を受けるデバイスについては確認していない。その一方で VulnCheck は、以下のモデルが脆弱である可能性が高いと考えている:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
これらのルーターは、すでに製造中止であるが、依然として広く使用されていると報告されている。驚くべきことに、いまでも Amazon で購入できるものもある。
脆弱性の詳細
- CVE-2024-40891:Telnet サービスにおける認証コマンド・インジェクションの脆弱性
- CVE-2025-0890:以前にから文書化されている “supervisor:zyad1234” や “zyuser:1234” といった、デフォルトの認証情報の存在。
上記の脆弱性の組み合わせにより、以下の問題が生じる。
任意のユーザー・アカウントで認証できる攻撃者が、コマンド・インジェクションの脆弱性を悪用する場合には、標的デバイス上での任意のコマンド実行にいたる。加えて、残念なことに、デフォルトの認証情報により、この脆弱性を悪用するために必要なアクセスが、攻撃者に対して提供されてしまう。
緊急の対応が必要
これらの脆弱性の重大性と積極的な悪用を考慮すると、Zyxel CPE デバイスのユーザーは、直ちに対応する必要がある。影響を受けるモデルがサポート終了であるため、Zyxel が推奨するのは、新しいデバイスへの交換である。なお、ただちにデバイスを更新できない場合には、Telnet アクセスを無効化し、さらに、デフォルトの資格情報が使用されていないことを、確認する必要がある。
Zyxel ルーターに複数の脆弱性が発生しており、すでに悪用が確認されていますが、EoL のためサポート対象外とのことです。影響を受けるモデル名は明示されていますので、ご利用のチームは、ご注意ください。また、つい先日の 2025/01/29 には、「Zyxel CPE デバイスのゼロデイ脆弱性 CVE-2024-40891:実環境での悪用を確認」という記事がポストされています。よろしければ、Zyxel で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.